История не моя, но я в ней участвовал и разговаривал с техподдержкой gosuslugi.ru. И теперь на сайт gosuslugi.ru только со вторым фактором.
Вызвался помочь выяснить задолженность по налогам и другим выплатам государству одному хорошему человеку, далекому от компьютеров и не первый год пенсионеру.
Показалось, что регистрация на gosuslugi.ru, последующий поход в Многофункциональный центр для подтверждения учетной записи наиболее простым решением, которое и было посоветовано.
Далее создал почтовый ящик, с этим почтовым ящиком зарегистрировался на сайте госуслуг, хороший человек подтвердил учетную запись лично посетив МФЦ. Оплатили задолженности, их было не много. Оказалось, что ИФНС необходимо до 14 дней, чтобы отметить что задолженности нет.
Узнать судьбу платежей захотелось через неделю. Но войти на сайт госуслуг не удалось — «не существует запись» ответила техподдержка и предложила составить обращение. Составили. Параллельно проверили ранее специально созданный (и соответственно редко проверяемый) почтовый ящик — оказалось, что в день удаления учетной записи было два письма с разницей в 25 минут. Первое с темой «Восстановление доступа к учетной записи» и соответствующим содержанием. Второе с темой «Учетная запись удалена» и содержанием:
Здравствуйте, ХХХХХХХ ХХХХХХХХХХ ХХХХХХХХ!
Ваша учетная запись в Единой системе идентификации и аутентификации инфраструктуры электронного правительства удалена.
Если вы не инициировали процесс удаления своей учетной записи, возможно, ваша учетная запись была взломана.
Пожалуйста, свяжитесь со службой поддержки Единой системы идентификации и аутентификации.
Я очень сомневаюсь, что логин и пароль мог быть известен злоумышленнику. Подобрать пароль (а он был вот таким /71fge6HaRNP3ng) к сайту маловероятно. Пара логин/пароль был записан на бумажку «квадратными» буквами. Пара логин/пароль от сайта не совпадает с парой логин/пароль от почты (тоже записан на бумажку). Вход осуществлялся через режим «Инкогнито» без каких-либо плагинов под присмотром хорошего человека — хотя он и не очень понимает, что я делаю, но это дисциплинирует.
Не могу представить кому могло понадобится удаление учетной записи на сайте госуслуг.
При связи со службой поддержки, как уже было сказано ранее, выяснилось, что запись удалена. Спустя два дня позвонили по обращению и ссылалась на Ф3-152 о ПД сказали:
- что запись удалена
- восстановлению не подлежит
- узнать какие-либо подробности о процессе удаления (кто, откуда, как и т.п.) нельзя — не хранят они информацию согласно Ф3-152 о ПД.
- для удаления достаточно только знания почты и пароля, т.е. доступа к самой почте не нужно, письмо с подтверждением не посылается и сам доступ к почтовому ящику не проверяется
- вопрос почему не проверяется доступ к почте на которую регистрируется запись остался без ответа — не положено знать об этом техподдержке.
Запись создана по новой, позже будет подтверждена посещением МФЦ, после чего можно будет выяснить судьбу платежей.
Для себя сделал выводы:
- для удаление учетной записи достаточно знать логин/пароль, хотя откуда злоумышленник знал пароль остается загадкой;
- на сайте госуслуг надо в обязательном порядке использовать второй фактор — первый-то не проверяется;
- что-то не доделали в разрезе безопасности на сайте госуслуг.
Сам по мере необходимости пользуюсь сайтом госуслуг, впечатления до этого момента были сугубо положительны.
Update
Update2
Комментарии (105)
AndreWin
21.08.2017 20:57+1Простите, а что за второй фактор?
Anarions
21.08.2017 21:04+2Думаю речь о двухфакторной авторизации. Наверное смс-подтверждение при логине.
ErshoFF Автор
21.08.2017 21:29Да, второй фактор — это смс подтверждение.
Почему не используется факт контроля почты на которую зарегистрирована учетная запись -неизвестно.
AlexanderS
21.08.2017 21:41Да это вообще аншлаг какой-то. 2017 год. Есть уже наработанные правила. Ну как так — кто там вообще систему пилит?
pnetmon
21.08.2017 21:24+2Далее создал почтовый ящик, с этим почтовым ящиком зарегистрировался на сайте госуслуг
Еще есть возможные дыры для утечки в почтовом сервере, ну и каналы связи… Привет Яровой
ErshoFF Автор
21.08.2017 21:28+1Странно что утекли (по крайней мере пока) только эти учетные, которые вводились в режиме инкогнито и только по https(вроде как защита какая-никакая).
Из обычного браузера много каких-учетных данных не утекло.
И статья о том, что на госуслугах для удаления достаточно знать учетные данные и всё.
AlexanderS
21.08.2017 21:39+5Это жесть! То у нас издаются законы Яровок в стиле «забекапь весь интернет». А тут, когда касается реального дела — данных видите ли нет. Врут наверное)
Двухфакторная авторицация — это ни разу не панацея. Будут проблемы со связью — вообще не авторизуешься. Я как-то с банкингом намучался в условиях когда то связи нет, то СМС не приходит и оно ведь случается, зараза, именно тогда — когда надо прямо сейчас и срочно. Пришлось вообще свалить в другой банк, где СМС можно заменить токеном или криптогенератором. Кстати, подтверждение СМС это давно скомпроментированный метод и давно официально признан небезопасным.
Не могу представить кому могло понадобится удаление учетной записи на сайте госуслуг.
Да поди как всегда — технический косяк или тупое раздолбайство. Но косяк как же признать-то? Это надо выяснить момент и найти своего виновного. А то и хуже — нестыковку в разработке, недостаточную безопасность и т.д. и т.п.
У меня в районе как-то всем налоги пришли двойные «а вы за прошлый год не платили». Ну я-то ещё тот Жук — я им привёз и подарил цветные сканы полученных извещений и уплаченных квитанций за прошлый год :) Мадам помню сильно удивилась, но попытки я присёк сразу, сказав что проверяйте в бухгалтерии по реквизитам, ещё раз я никуда никогда не поеду, за исключением суда ;) А потом через полгода мне знакомый сисадмин сказал, что в налоговой воду на сервер пролили и он помер )))znalexej
22.08.2017 12:29У нас в налоговой в 2015 году то-ли переходили с одной БД на другую, то-ли обновляли БД. В результате похерили безвозвратно кучу информации по объектам налогообложения. Мне до сих пор налог на авто не пришел за 2015 г., а скоро уже пора и за 2016 платить. Никакой инфы по моему авто на сайте налоговиков нет. Дважды с начала этого года писал им запросы типа «Хочу заплатить налоги и спать спокойно, выставьте мне счет». Отписываются — направили запрос в регистрирующий орган, они должны как-то обменяться информацией с налоговой, т.к. руками теперь ничего нельзя добавить в БД. Пока глухо.
AlexanderS
22.08.2017 12:58+3У меня было подобное, но наоборот. Я когда зарегистрировался на nalog.ru (пришлось через почту подтвердить учётку на госуслугах) вообще офигел насколько я богат — две квартиры, три машины =) Естественно дубли. С авто-то быстро разобрались, а вот с дублем кадарстра на недвижимость я боролся полгода. А делать нечего — если всё оставить как есть, то есть нехилая вероятность, что оно так и останется, поэтому раз в месяц кого-то дёргал.
Поэтому не пускайте на самотёк — старайтесь контролировать.
На Вашем месте я бы сохранил сканы/письма в налоговую и их ответы. Что бы потом, если чего, можно было бумажкой кому-нибудь ткнуть в морду, что типа я готов был — вы сами виноваты.
YMA
22.08.2017 17:11Аналогичная ситуация, причем тоже писал 2 раза — оба раза получил аналогичные вашим ответы («направили запрос, как ответят — посчитаем вам налоги»). Причем второй раз налоговая мне конкретно ответила «по нашим данным, на такое-то число налоговая задолженность у вас отсутствует», на чем я и успокоился. Ответы сохранил в виде файликов (они с ЭЦП) и распечатал в семейный архив.
Lorien_Elf
23.08.2017 02:57Будьте осторожны и проконсультируйтесь с юристом. Есть ненулевая вероятность, что вам пропишут по полной: и налоги, и штрафы за просрочку, и все остальное. И возможно даже Верховный суд не поможет, бывали прецеденты.
znalexej
23.08.2017 14:20По поводу штрафов и пеней я им писал, что, т.к. моей вины в отсутствии своевременного начисления налогов нет, то и оплачивать их не желаю, в случае чего… Меня заверили, что штрафов/пеней не будет, а на оплату налога после начисления будет выделен месяц. Все это есть в электронной переписке.
a0fs
21.08.2017 21:41-1Для меня вопрос адекватности безопасников и безопасности на этом сайте был окончательно прояснён, когда они раздавили свой сертификат, который нужно было добавить в корневые сертификаты в системе, по HTTP. С тех пор, как видно, изменилось не много.
mayorovp
22.08.2017 09:38+1А как еще его можно было раздавать, если без него "российский" HTTPS не работает?
Раздавать сертификат по HTTP — можно. Главное для пользователя — проверять отпечаток сертификата по альтернативному каналу.
a0fs
22.08.2017 21:26+1Сертификаты которые ставятся в систему как доверенные авторитетные и предназначены для установки силами обычных пользователей ДОЛЖНЫ раздаваться по https. Я хочу видеть тех людей, которые в состоянии сверить отпечаток без хорошей вероятности ошибки. А вот та часть про альтернативный канал меня особенно впечатлила. Мне даже интересно, что это может быть за канал и как добиться, чтобы вероятность синхронной компрометации обоих была низка, и при этом сохранить так необходимую простоту подключения к системе.
Я не спорю, что распространение сертификатов по незащищённым каналам грех не большой. Но это только при наличии отлаженных и РАБОТАЮЩИХ инструментах проверки подлинности. В реалиях нашего общества, где не что что отпечатки не сверяют, имя скаченного файла не особо то прочитывают и содержимое сертификата не пролистывают, раздавать корневой сертификат по незащищённому каналу преступление, наказание которому РАССТРЕЛ.
CaptainFlint
21.08.2017 22:19на сайте госуслуг надо в обязательном порядке использовать второй фактор — первый-то не проверяется
Первый фактор — это пароль. Почта как раз была бы возможным вариантом второго фактора, если бы на неё отправлялось подтверждение.ErshoFF Автор
21.08.2017 22:26Формально вы правы.
Фактически сначала был запрос на изменение пароля, потом извещение об удаление учетной записи без подтверждения через почту.
Мне кажется это проблема безопасности которую стоит закрыть.
По крайней мере все (насколько могу вспомнить) сервисы имеющие учетную запись используют подтверждение через почту для значимых изменений.
Alexeyslav
22.08.2017 08:30+1Значит, надо смотреть процедуру изменения пароля. Видимо там можно установить новый пароль НЕ ЗНАЯ предыдущего! Иначе, если бы знали пароль удалили бы сразу без промежуточного действия.
Может, и тут человеческий фактор? Позвонили в техподдержку, и попросили сменить пароль… а что, такое тоже прокатывает.
swelf
21.08.2017 22:25+1Самый главный вопрос, кому нафиг нужен доступ на госуслуги стороннего человека? И нафига эту учетку удалять? Думаю, либо сам хороший человек/внук/внучка накосячили либо одно из двух.
У меня как-то увели учетку от одного сайта обменника, подобрали пароль? Но ведь логин тоже подобрать надо… Если и так, то почему нету защиты от брутфорса. Если она есть и у меня сидел вирус(а у меня ведь linux), то почему не поперли других данных, куда более ценных. я к чему это, м***ки повсюду и надо быть на стороже)
lostpassword
21.08.2017 22:25+2Ну очень понятно, почему сделан вывод, что СМС-подтверждение как-то поможет…
Вполне возможно, что нет — так же, как и почта.
Barabek
21.08.2017 23:38+2К автору для полноты картины немного вопросов.
- Почему входили в режиме инкогнито?
- Почему для стороннего человека придумали такой хитрый пароль?
- Какой почтовый сервис использовали?
ErshoFF Автор
22.08.2017 10:25+21. Во избежании сохранения паролей и воздействия на страницу установленными расширениями, а также исключения пересечения с моей записью.
2. Как и всегда — хитрый пароль против подбора, в этом случае не помогло.
3. яндекс
LazyCrazy
22.08.2017 06:43И теперь на сайт gosuslugi.ru только со вторым фактором.
По работе вынужден часто пользоваться «Госуслугами». Включал «двухфакторную авторизацию» (или, точнее, «двухэтапную проверку входа», как это названо в esia.gosuslugi.ru/profile/user/security), но вынужден был от этого отказаться, поскольку sms приходили с большим запозданием (когда вообще приходили).
Больший недостаток, на мой взгляд, заключается в том, что на Госуслугах на одну и ту же учётную запись привязали как работу с человеком, как с частным лицом, так и как с работником организаций, к которым он привязан. Зачастую функции человека на ресурсах, вход на которые завязан на Госуслуги, выполняет не он лично, а другие сотрудники, которым он делегировал полномочия (скажем, чтобы не закупать много электронных подписей или в случае, когда подписывать должен только сам руководитель, но он всё лично сделать физически не в состоянии). И эти сотрудники могут увидеть (и не только) информацию в разделе личных данных, что, конечно, нежелательно.
diaskzn
22.08.2017 08:41Вообще то запрещено делегировать полномочия.
Igor_34_rus
22.08.2017 09:38-1чем запрещено?
Просто у нас в компании заделегировано всё что можно. Надзорные органы не протестуют.
LazyCrazy
22.08.2017 10:47-3Вообще то запрещено делегировать полномочия.
Вообще-то «Вообще то» пишется не так. Но это к слову. Больше интересует, в каких конкретно случаях «запрещено делегировать полномочия». Желательно поконкретнее, а если будут и пруфы — благодарности нашей не будет предела.LazyCrazy
24.08.2017 10:08-1Судя по отсутствию ответов и «минусам» — информация взята из принципа «я понятия не имею, но вижу так».
Eklykti
22.08.2017 08:48+1когда подписывать должен только сам руководитель, но он всё лично сделать физически не в состоянии
Отличный план чтобы присесть
LazyCrazy
22.08.2017 10:41-1Я не юрист и могу гарантировать, что в такой ситуации всё законно со всех сторон (даже при наличии всех официальных распоряжений о праве подписания). Но простая логика подсказывает, что если если руководитель будет лично подписывать все отчёты и все ответы на запросы, то находится на работе ему придётся по 48 часов в сутки, причём своей непосредственной работой заняться он не будет успевать. Виват бюрократии!
присесть
Господа, откуда у вас этот сленг?
chieftain_yu
22.08.2017 12:14+1Скажите, а вы встречали руководителя, который выдает подчиненным пустые листы с его собственноручной подписью — ну чтобы они к нему не бегали подписывать документы, а сами потом печатали поверх то, что им надо?
Просто в данном случае все обстоит ровно так же…SandroSmith
24.08.2017 12:59У секретаря генерального директора есть факсимиле его подписи. И на всякие трешевые бумажки (а ля акт выполненных работ о ремонте фотоаппарата) она ставит эту подпись абсолютно свободно. Выше правильно писали, лично заниматься всем невозможно физически.
Alex_Hannibal
22.08.2017 12:16-2Из интернетов вестимо. Была старая новость про полицию, которая потом расползлась на мемы. В новости было как раз про «присесть на бутылочку». Сейчас «присесть» больше ушло к сесть в тюрьму.
http://lukomore.org/lurk/%D0%9F%D0%BE%D1%81%D0%B0%D0%B4%D0%BA%D0%B0_%D0%BD%D0%B0_%D0%B1%D1%83%D1%82%D1%8B%D0%BB%D0%BA%D1%83
ploop
22.08.2017 09:14+1Жесть какая…
Я тоже по работе использую госуслуги, но у нас каждый сотрудник входит под своей учёткой, а раздача прав настраивается в админке организации. На любые другие варианты (дать другому учётку «поработать») будет отсыл в известном направлении.LazyCrazy
22.08.2017 11:08раздача прав настраивается в админке организации
Спасибо за хороший пример. Правда, не «права», а «доступ к системам», но не суть. У вас лично руководитель организации этим занимается? А какова численность коллектива, если не секрет? И на госзакупках, когда там присоединялись к госуслугам, сам лично всех перерегистрировал (для не сталкивавшихся с этим — всех надо было перерегистрировать и начинать мог только руководитель с правильно прописанными на госуслугах инн и снилс)? И на ГИС ЖКХ лично ходит админить (там похожая ситуация с вышеописанной)?
каждый сотрудник входит под своей учёткой
Многие системы требуют входа только с помощью электронной подписи. У вас у всех сотрудников имеются такие подписи и сотрудники имеют соответствующие права, прописанные в этих подписях? Для росреестра там, для пенсионного, для налоговой?
Для понимания — я не говорю, что это правильно; наоборот, я утверждаю, что такая система изначально была неправильно продумана и реализована. Но по факту — не во всех случаях, когда требуется выполнение действия от имени руководителя или иного ответственного лица, имеется возможность это сделать лично этому человеку. Элементарный пример — начальник ушёл в отпуск. С передачей прав заместителю. Предлагаете во всех системах всё переделывать на заместителя? ЕГРЮЛ переписывать? Да только в «электронном бюджете» прохождение изменений ждать дольше придётся, чем продолжительность отпуска.ploop
22.08.2017 11:59Работаем только с ГИС ЖКХ, там электронная подпись не требуется, во всяком случае для сотрудников. И, если память не изменяет, от руководителя требовалось только первоначально настроить реквизиты организации, и распределить доступы на пользователей и администраторов, для остальной работы он не нужен.
Если в других областях деятельности всё так сложно — печально…LazyCrazy
22.08.2017 13:58И, если память не изменяет, от руководителя требовалось только первоначально настроить реквизиты организации, и распределить доступы на пользователей и администраторов
«Иван Иваныч, тут из правительства, как всегда задним числом, прислали распоряжение, надо добавить нашей организации новую функцию, 'Орган местного самоуправления, уполномоченный на ведение программы «Формирование современной городской среды»'; как всегда ещё вчера и вчера же отчитаться. Что значит „я на заседании“? Бросьте эту ерунду, Иван Иваныч; тут речь о Госууслугах!»
А если серьёзно — я очень рад, если ваш руководитель разбирается в веб-сервисах настолько же хорошо, насколько и в том, чем руководит (я надеюсь, что разбирается). Но это не везде и не всегда так.
Тут выше кто-то ёрничал, мол пустую бумажку с подписью не стоит давать. Ну, во-первых, если уж сравнивать, то не пустую бумагу, а скорее ведомость с некоторыми не проставленными цифрами. А во-вторых и главных — контроль со стороны руководителя никто не отменял. Когда руководитель визирует подготовленные в отделах бумаги, он, естественно, не перепроверяет все указанные там данные, но проверить всегда может и должен.ploop
22.08.2017 14:06тут из правительства, как всегда задним числом, прислали распоряжение, надо добавить нашей организации новую функцию
Ну и всё, ждём Иван Иваныча из отпуска/командировки. Возможно, конечно, он оставил свои данные на случай (тьфу-тьфу) форсмажора, тому, кому сильно доверяет, но мы (сотрудники) об этом не знаем.
я очень рад, если ваш руководитель разбирается в веб-сервисах настолько же хорошо, насколько и в том, чем руководит
На самом деле там разобраться не сложнее, чем в одноклассниках, с точки зрения авторизации. Ну а предметную область естественно знает. Плюс всегда можно попросить помочь айтишников или кого-там, если что непонятно, не передавая им паролей.chieftain_yu
22.08.2017 15:41+1Плюс всегда можно попросить помочь айтишников или кого-там, если что непонятно, не передавая им паролей.
И тут мы задумываемся про наших безопасников, установивших по требованию директора DLP-решение с кейлоггером…ErshoFF Автор
22.08.2017 15:48Необходимость ввода кода из смс сообщения привязанного телефона сводит на нет требование директора.
chieftain_yu
22.08.2017 16:02Если, конечно, у вас настроена двухфакторная, и при этом нет DLP и на телефонах.
Пути возможной утечки паролей надо тоже продумывать.ErshoFF Автор
22.08.2017 16:15Я говорил про DLP и пароли утекшие через DLP могут не помочь, если учетная запись имеет второй фактор.
DLP на телефонах пока не встречал, наверное они есть.
В описанной истории — личный ноутбук и единственный пользователь/администратор.
Файервол/платный антивирус/обновления ОС /маршрутизатор стоят.
Других потерь не замечено.
ploop
22.08.2017 14:14И ещё момент к комментарию ниже, но в контексте нашего разговора:
Директора нет — кто может подписывать? Доверенное лицо — а оно возможно?
Я не знаю, возможно или нет, но знаю, что у них есть техподдержка. И если её попинать, да побольнее, то нужный функционал вполне реализуется и внедряется за несколько месяцев.pnetmon
22.08.2017 20:06Директора нет — кто может подписывать? Доверенное лицо — а оно возможно?
Я не знаю, возможно или нет, но знаю, что у них есть техподдержка. И если её попинать, да побольнее, то нужный функционал вполне реализуется и внедряется за несколько месяцев.А с техподдержкой в виде первой линии я общался. Их пинать (сидящих на государственных деньгах(т.к. это разработка и поддержка чья-то)) нужно иметь большие нервы и время...
ploop
22.08.2017 20:38+1С первой линией я тоже общался. Некоторые диалоги на башорг можно выкладывать без изменений.
Если дело не движется, переписка эскалируется вышке, вплоть до того, что через руководство организации и заинтересованных гос.структур на ответственных за всё это безобразие.
Ну, короче, «под лежачий камень вода не течёт». А отношение сотрудников, обычно, «да у них не работает (не реализовано), но это не моя забота, отмаза есть если что».
chieftain_yu
22.08.2017 14:29+3Это был я, но я не ёрничал.
Если вы даете кому-то доступ к своей учетке в госуслугах, вы по сути даете ему возможность визировать (юридически значимо для вас — то есть вплоть до уголовки именно вам) от вашего лица все, что ему заблагорассудится.
Чем это отличается от пустого листа с отвественной собственноручной подписью — мне непонятно.
Если вы даете подчиненному доверенность на что-то, и он без вашего ведома совершает с ее использованием нечто противоправное — наказывать будут его, а не вас. Вы просто получите некие потери (финансовые, репутационные, временные — может быть много чего). А вот если вы ему дали свою учетку и он что-то крамольного там от вашего имени наподписывал — то претензии будут именно к вам. Электронная подпись юридически так же значима, как и личная.
И именно поэтому давать к ней доступ кому-то кроме себя — крайне неосторожно.LazyCrazy
24.08.2017 06:04Господа, знаете кого напоминают некоторые участники обсуждения? Людей, написавших обращение и свято уверенных, что их вопросом будет заниматься руководитель организации лично. А что — заявление они писали на его имя, ответ пришёл за его подписью — естественно, он сам всё и делал. И крайне недоверчиво они относятся к тем, кто пытается им пояснить, что руководитель отправил их заявление по компетенции начальнику(ам) отдела(ов), который(е) перенаправил(и) его сотруднику(ам), которые, собственно, и составляли ответ. Потом этот ответ прошёл обратным путём и его подписал руководитель, который сам лично (о ужас!) может и не владеть всеми тонкостями вопроса. Но подписал. И будет, в случае чего, отвечать. Работа у него такая — организация и планирование. И ответственность за работу организации.
Считайте, что это не патриотично, но зависеть работа организации не должна от наличия на месте одного-единственно работника, а должна — от его умения построить работу так, чтобы личнопрезидентначальник ЖКХ не бегал с разводным ключом.chieftain_yu
24.08.2017 09:41+1Именно.
Почему никого не удивляет, что жалоба, написанная на деревню Путину, пройдя через администрацию президента и вернувшись, например, муниципалам, получает ответ не за личной подписью Путина, а, скажем, начальника штанопросиживательного отдела местной администрации?
Именно поэтому в любом нормальном документе (или в документации, его сопровождающей) есть приписка «Исп. Такой-то».
Именно поэтому при электронном документообороте начальник перед постановкой визы должен иметь возможность проверить, а Такой-то ли составил документ (привет, электронная подпись Такого-то!). И в случае отсутствия начальника визировать документ должен тогда его заместитель или исполняющий обязанности своей собственной ЭП.
Работа организации должна быть построена именно таким образом.
И именно поэтому необходимость использования подписи Большого Начальника его подчиненными без его ведома должна отсутствовать. В интересах именно этого начальника. Если начальник дает свою электронную подпись посторонним — он не может выстроить соответствующий процесс.
Я так вижу.LazyCrazy
24.08.2017 10:00Почему никого не удивляет, что жалоба, написанная на деревню Путину, пройдя через администрацию президента и вернувшись, например, муниципалам, получает ответ не за личной подписью Путина, а, скажем, начальника штанопросиживательного отдела местной администрации?
Может потому, что это не так? По всей видимости вы никогда не имели дела с системами обращений граждан, с ссту.рф, «банкоматами» обращений к президенту и т.д.
Именно поэтому в любом нормальном документе (или в документации, его сопровождающей) есть приписка «Исп. Такой-то».
Т.е. все документы, не являющиеся распоряжениями и приказами с вашей точки зрения «ненормальные»?
«Я так вижу» — это замечательно, но спорить, основываясь на своих представлениях, как должно быть, а не на знании, как обстоят дела на самом деле, не очень продуктивно.
Кстати, я не говорю, что все ваши идеи плохи — напротив, если бы некоторые из них воплотились — было бы замечательно. Но… а вы не хотели бы поработать в системе органов местного самоуправления? Может быть, что-то и изменили.chieftain_yu
24.08.2017 10:17+1Хорошо, кого-то такое удивляет.
Да, с моей точки зрения — для любого документа должна быть возможность проверки, а кто ж его создал.
Не всегда эти данные должен видеть конечный получатель, но у руководителя должна быть возможность верифицировать путь документа.
В идеале — и проверить, вносились ли в него несанкционированные изменения. Электронная подпись при этом такие возможности дает.
Я не спорю с тем, что во многих и многих местах многое организовано ректальным способом, что вы. Я эту булочку как потребитель госуслуг периодически жую со слезами на глазах.
Я только утверждаю, что ситуация «я дал свою ЭП подчиненным» — это очень, очень хорошая и удобная табуреточка, на которой стоит множество начальников, просунувших в петлю голову. Нравится кому-то делать так вместо более правильной организации документооборота — ну так кто ж им запретит.
У нас тут у одного контрагента была уже ситуация «ай, мы не размещали этот тендер. Злые хакеры тут за нас его создали с использованием электронной подписи начальника. Ну да, ее все в компании знают вплоть до уборщицы. Что значит — с нас неустойка?».
Прям удивительно, да?
Нет, я категорически не хочу идти на госслужбу.
pnetmon
22.08.2017 12:15Больший недостаток, на мой взгляд, заключается в том, что на Госуслугах на одну и ту же учётную запись привязали как работу с человеком, как с частным лицом, так и как с работником организаций, к которым он привязан. Зачастую функции человека на ресурсах, вход на которые завязан на Госуслуги, выполняет не он лично, а другие сотрудники, которым он делегировал полномочия (скажем, чтобы не закупать много электронных подписей или в случае, когда подписывать должен только сам руководитель, но он всё лично сделать физически не в состоянии)
Я им посылаю большие лучи… — Сотрудник (ну например зам главного бухгалтера) создает документ под своим логином. Чтобы его отправить например в Фонд соц страх документ должен подписать руководитель организации, директор. Директора нет — кто может подписывать? Доверенное лицо — а оно возможно?
dzobnin
22.08.2017 11:10+2Теория
заговоравзлома не проходит «бритву Оккама». С вероятностью 0,(9) это глюк системы или косяк исполнителя.
AleXP3
22.08.2017 11:14А к почте точно не было стороннего доступа? Может там письма-подтверждения просто стерли?
severgun
22.08.2017 14:25оказалось, что в день удаления учетной записи было два письма с разницей в 25 минут. Первое с темой «Восстановление доступа к учетной записи» и соответствующим содержанием. Второе с темой «Учетная запись удалена» и содержанием:
Подобрать пароль (а он был вот таким /71fge6HaRNP3ng.) к сайту маловероятно.
хотя откуда злоумышленник знал пароль остается загадкой;
Очевидно, что взломали почту, а не аккаунт госуслуг. При чем тут подбор пароля к сайту если была инициирована процедура восстановления пароля?
Злоумышленник не знал пароля к сайту. Он имел доступ к почте.ErshoFF Автор
22.08.2017 15:14Вряд ли.
Взломав почту первым делом злоумышленник меняет пароль к почте, ну или это какой-то странный злоумышленник.
Если не меняет, то хотя бы скрывает следы воздействия.
Дополнил пост скрином из почты.
TimsTims
22.08.2017 16:37Первое с темой «Восстановление доступа к учетной записи» и соответствующим содержанием. Второе с темой «Учетная запись удалена» и содержанием
Ну очевидно же, кто-то зашел в свою почту, увидел, что ему сыплется спам от «госуслуг», сделал сброс пароля и удалил нафиг учётку, которая почему-то привязана к нему.
Возможно еще, что этот человек-пенсионер любезно подарил электронную почту своему *внуку*, *другу*, *соседу* итп крутой цифровой подарок на день рождения, например 10-летнему ребёнку, который так этому обрадовался, что пошел тыкать во все кнопки, читать письма, и удалять нафиг левые аккаунты(откройте любое письмо, есть ли там слова типа: «если этот спам вам не нужен, удалите аккаунт по этой ссылке» ?).
Либо к этому пенсионеру не только вы в гости ходите, но и другие *тыжпрограммисты*, которые решили проверить его почту на вирусы, и отписали от спамовых госуслуг, «зачем они пенсионеру, вдруг еще пенсию уведут».
Кстати, наличие антивирусов не означает отсутствие кейлоггеров…
2-х факторная авторизация тоже странно как может помочь, мне кажется она отключается также просто.
для удаления достаточно только знания почты и пароля, т.е. доступа к самой почте не нужно, письмо с подтверждением не посылается и сам доступ к почтовому ящику не проверяется
Не хочу показаться несовременным хамом, но со стороны государства, «Яндекс» или «мейл.ру», или любой другой почтовик являются просто сторонней коммерческой компанией. Вполне может такое быть, что человек лишится доступа к почте(украли-сменили пароль, либо почтовая компания по велению своего ИИ-антиспам решила заблокировать подозрительную почту, либо новые санкции США постановили заблокировать все почтовые адреса всех граждан РФ, да хоть что может быть, к чему госуслуги непричастны никак). Так вот, во всех этих сценариях может случиться, что человек — физическое лицо ничего не сможет сделать с сайтом госуслуг, и поэтому я согласен с тем, что полагаться на сторонние почтовики как на гарант сохранения гражданских прав — не правильно со стороны государственных услуг.ErshoFF Автор
22.08.2017 16:46+1Как можно зайти в почту не зная пароля?
Пароль на почту такой же сложности как и был на госуслугах. Т.е. вряд ли подобрали, а если подобрали — почему не сменили? Почему не удалили почтовый ящик? Ведь через него
«зачем они пенсионеру, вдруг еще пенсию уведут».
Удалить учетную запись и оставить все письма от гоуслуг в ящике — странная логика поведения.
Странный аргумент
…
являются просто сторонней коммерческой компанией.
…
Если внимательно присмотрется — сейчас всё является коммерческой компанией — везде есть планы «продаж», включая поликлиники, школы, сайты и т.п.Barabek
22.08.2017 17:22А где все это время находилась та самая бумажка с паролями "квадратными" буквами?
ErshoFF Автор
22.08.2017 18:23В надежном месте :)
Вариант с потерей/попаданием в руки злоумышленника — это самый крайний вариант, который идёт после злого умысла сотрудников почтового сервера.TimsTims
22.08.2017 23:19+1Вот именно, что злоумышленника, но вы отвергаете вариант «доброго родственника», который увидел пароли, решил проверить и помочь «бедному пенсионеру, который не разбирается во всём этом, от греха подальше...»
ErshoFF Автор
23.08.2017 07:17+1Статья о том, что учетную запись можно удалить без подтверждения владения почтовым ящиков и без личного посещения МФЦ.
Вчера выложил журнал доступа к почтовой записи — кроме меня никто не входил.
SibUrsus
22.08.2017 16:48Здравствуйте.
Вовсе не обязательно, что ваш аккаунт взломали злые хакеры. Есть очень не нулевая вероятность, что это человеческая ошибка сотрудника Центра Обслуживания. Если вы посмотрите на фильтры на оф. сайте, то увидите, что некоторые из них наделены полномочиями удалять учетки. (МФЦ — точно). Может попался ваш полный тёзка, пожелавший удалиться, а сотрудник не посмотрел СНИЛС/паспорт, может еще что, это довольно популярная операция.ErshoFF Автор
22.08.2017 16:52Про злых хакеров — это к комментаторам. Пароли на учетную запись и на почтовый ящик сложные, вряд ли подобрали.
Больше похоже что есть возможность удаления (возможно с участием техподдержки) не зная пароль, не имея доступа к почтовому ящику и без личного присутствия в МФЦ.
Может и попался полный (не мой, я только участник) тёзка, но зачем тогда посылать запрос на изменение пароля?
Пост о том, что следов не найти — ФЗ-152 не позволяет.
Интересно как это вяжется с оперативно-розыскной деятельностью?ploop
22.08.2017 17:36Про злых хакеров — это к комментаторам
Я вот молчу по поводу версий, т.к. не вяжется вообще ничего.
— Злые хакеры: нафиг им сдалась учётка на госуслугах? Максимум — использовать её в своих целях, но зачем удалять?
— Хозяин, его близкие: наверное сказал бы, судя по тексту нет оснований ему не верить
— Самый подходящий вариант, как озвучили выше: сами сотрудники. Но запрос на изменение пароля действительно непонятен…
SilverHorse
22.08.2017 21:26+2Самый подходящий вариант, как озвучили выше: сами сотрудники. Но запрос на изменение пароля действительно непонятен…
Непонятен? Мне тоже был, когда моей маме при оформлении пенсии сотрудники ПФР без ее ведома сбросили пароль на госуслугах, навешав ей лапши про «логин и пароль для личного кабинета».
История: пошла моя мама оформлять пенсию. Перед этим я ее зарегал на госуслугах, ибо перед оформлением нужно было там совершить некоторые действия (в частности, мама хотела узнать размер предварительно рассчитанной ей пенсии). Мама сходила в ПФР в назначенный день, и через пару недель попросила проверить для нее на сайте статус оформления. Выяснилось, что ей вручили заламинированную бумажку со словами «это ваши логин и пароль для личного кабинета на сайте пенсионного». Я изрядно прифигел, ибо я был на 100% в курсе, что никакого личного кабинета на сайте ПФР нет в помине, есть только раздел в меню под названием «Личный кабинет», в котором все ссылки ведут на обвязку ПФР в ЕСИА. Я попытался зайти… ну да, выяснилось, что добрая девочка из пенсионного, принимающая заявления на пенсии, у нас обладает ни много ни мало, правами творить с аккаунтами людей на госуслугах что угодно, и к тому же еще сама логинится под ними после смены паролей для проверки. Мне интересно, если бы я на тот момент включил двухфакторную (не помню, была она тогда или нет) и мама пришла бы без телефона, что бы они там делали? Или пароль был бы изменен принудительно и двухфакторная была бы послана нафиг?
SibUrsus
22.08.2017 18:40Да, есть момент взаимного недопонимания, каюсь. Я невнимательно прочитал вас, а вы… меня.
Я лишь дополняю и расширяю ответ, данный вам выше, Spanden
Я не утверждаю что это ваш случай, письмо о восстановлении и меня смущает, я лишь хочу рассказать вам и другим читателям, что мне, например, как сотруднику МФЦ, глубоко ортогонально, какой у вас пароль, какой ящик и скольки факторная аутентификация! В пару кликов мыши я могу спокойно удалить любую учетную запись ЕСИА! И никакой СНИЛС/паспорт мне не нужны. (поправочка: пока не любую, а только своего субъекта федерации, но если введут принцип экстерриториальности в масштабах всех страны, то таки да)
Это вынужденная мера. Количество наших сограждан, безалаберно и безответственно относящихся к этому шагу, ввергает в печаль и уныние. Ваш покорный слуга лично разбирался с кейсом, когда мадам наделала 3 (три) упрощенных аккаунта и все на разные сим-карты и всепроёбездарно утрачены. Они думают, это как в китайском магазине, забыл, подумаешь, новую создам. А вот когда приходят подтверждать, тут и начинается… хождение по мукам. Поэтому нам и дана такая метла.
Но повторюсь: не утверждаю что это случай вашего знакомого, просто имейте в виду, такой вариант тоже есть и он очень реален.ErshoFF Автор
22.08.2017 18:47Пост о том, что невозможно (по словам техподдержки) выяснить как и кем была удалена учетная запись.
Если вы настоящий сотрудник МФЦ — проясните этот вопрос.
Действительно ли нет возможности (не существует логов действий сотрудников МФЦ, партнеров МФЦ и других сотрудничающих с МФЦ организаций) узнать кем, когда и на каком основании была удалена учетная запись?
Также очень интересен момент экстерриториальности, т.к. в настоящий момент восстановленная учетная запись не имеет адреса прописки/регистрации — какому региону она принадлежит/каким МФЦ может быть удалена?SibUrsus
22.08.2017 19:14Что вам ответили на горячей линии — я от комментариев благоразумно воздержусь.
Действительно ли нет возможности (не существует логов действий сотрудников МФЦ… узнать кем, когда и на каком основании была удалена учетная запись?
Безусловно есть. Если такой инцидент был, расследование не займет много времени. Но функции ЦО возложены еще на кучу федералов (соцзащита, ПФ, центр занятости, ЗАГС) и что происходит у них, я знать не могу.
А при чем тут прописка? Если в вашем регионе этот принцип реализован, то здравый смысл подсказывает, что начать стоит с того МФЦ, где аккаунт подтверждали. Сразу говорю, у нас отработанной процедуры расследования таких случаев нет, просто не было прецедентов, все учетки удаляются строго в присутствии и с согласия заявителя.
Пройдите по ссылке, что я дал в своём первом сообщении. Выберите ваш населенный пункт/район. Поставьте в фильтре галочку «удаление» и вот вам первый круг «подозреваемых».
Но прошу вас не забывать про человеческий фактор, там может никакого злого умысла и не было, если вообще такой факт был. «По эту сторону прилавка» тоже много разных, живых, усталых людей, уверяю вас.ErshoFF Автор
22.08.2017 19:40По поводу региона:
например человек регистрируется на сайте и не указывает регион проживания, т.е. теоретически он может зарегистрироваться например из Австралии — к какому региону он привязывается?
Также подтвердить учетную запись можно например в любом почтовом отделении, т.е. человек подтвердил свою учетную запись за Уралом, а потом не может удалить её в Мурманске через МФЦ?
Что-то здесь непонятно про регионы на уровне федеральной системы.SibUrsus
22.08.2017 20:03Если мы про подтверждение, то тут есть интересный момент. Не буду за всю страну, как это работает у нас в области. Гражданин может придти в любой МФЦ с документами и сказать: хочу подтвердить учетную запись. ОК, оператор берет его паспорт и СНИЛС и заводит карточку заявителя, заполняя все поля. Ведь что такое по сути АИС МФЦ? Это большая толстая CRM, верно? Нажимаем кнопку «выполнить запрос», всплывает окошко, вводим PIN-код токена и вуаля! Теперь, в какой бы МФЦ нашей области этот человек не зашел, его карточка доступна любому оператору и он видит историю его обращений. Но только в нашем регионе.
Но! Есть еще один вариант, облегченный и упрощенный. Страна у нас большая, и в наших сибирских краях практикуются выезды в поселки, мобильный офис. Сотрудник берет с собой настроенный ноутбук, токен и 3G модем. В браузере есть закладка на специальную ссылку, называется АРМ Центра Обслуживания, кликаем, авторизуемся, и вот там уже подробных сведений о гражданине мы не вводим, только серия и номер паспорта. И вот о таких случаях, мы информацию не видим, ее видит только Москва, Минсвязь.
Но удаление, да, либо сам гражданин в своём личном кабинете либо через АИС МФЦ или что там у федералов, врать не буду.ErshoFF Автор
22.08.2017 20:07Подтвердить можно в любом отделении почты, там токенов нет — просто сотрудник почты где-там ставит галочку.
Вопрос про привязку к региону остался без ответа.
Про удаление в другом регионе относительно региона подтверждения также без ответа.SibUrsus
22.08.2017 20:32+1Вот про почту ничего не скажу, почта это… почта и этим всё сказано :-)
Возможно, уже поздно и честного говоря, спать пора, прошу прощения, если сумбурно.
Если мы говорим о услугах свзяанных с ЕСИА, то я не очень понял о какой привязке идёт речь. Если вы придете ко мне, и попросите:
а) зарегистрироваться в ЕСИА
б) подтвердить УЗ
в) восстановить забытый пароль
г) удалить УЗ
мне не важно откуда вы, из Калининграда или с Камчатки. Был бы паспорт РФ, СНИЛС и телефон. Но как только я завел на вас карточку, она тут же стала доступна сотням других специалистов во всех МФЦ нашего региона и никаких технических преград для ее непреднамеренного, случайного удаления нет. Возможно, эта же схема работает и в вашем субъекте федерации, там где вы «засветили» учетку вашего знакомого, придя в МФЦ за подтверждением. Это лишь одна версия из букета вероятностей, вот что я хотел сказать. Прошу извинить, за сим откланиваюсь.ErshoFF Автор
22.08.2017 21:06Скажу за почту: привязка через почту РФ работает, выглядит это как «сотрудник почты посмотрел паспорт и поставил где-то галочку».
ЕСИА вроде как федеральная система, а карточка заводится на уровне региона и доступна для удаления только на уровне региона?
Тогда почему учетную запись удалили совсем (федеральный уровень)?
Из ваших ответов получается что в разных регионах ЕСИА разная.SibUrsus
23.08.2017 05:09То, что вы не видите токена не значит что его совсем нет, где то в этой цепочке должна быть усиленная квалифицированная подпись, не может быть чтоб не было. Или почте дали совсем уж грубый чит.
Еще раз. ЕСИА федеральная система, и удаляется на федеральном уровне, просто доступ к удалению появляется после того как вы обратились за любой, не важно какой, услугой, и на вас завели карточку. Ваш знакомый может устроить тур по всей стране и в каждой области обращаться в МФЦ и с каждым посещением, кол-во людей, имеющих такую возможность, будет пропорционально увеличиваться. Запись будет одна единственная, будет расти количество людей, имеющих к ней «отмычку». Понимаете?
Это вынужденная мера, зачастую это самый быстрый и надёжный способ решить проблему, грохнуть всё и начать с чистого листа. Мы этого не просили, но таковы реалии нашей страны.ErshoFF Автор
23.08.2017 07:36Из ваших слов —
сначала
Гражданин может придти в любой МФЦ с документами и сказать: хочу подтвердить учетную запись. ОК, оператор берет его паспорт и СНИЛС и заводит карточку заявителя, заполняя все поля.
но мой опыт показывает, что для подтверждение достаточным документом является паспорт, оператор МФЦ (сотрудник почты) ничего не заводит и СНИЛС не просит, то что он делает видится со стороны «смотрит паспорт и ставит галочку».
Из фразыНо удаление, да, либо сам гражданин в своём личном кабинете либо через АИС МФЦ или что там у федералов, врать не буду.
значит что вы не видели АИС МФЦ? Или АИС МФЦ это не то, что установлено в вашем МФЦ?
Из, цитируюВаш знакомый может устроить тур по всей стране и в каждой области обращаться в МФЦ и с каждым посещением, кол-во людей, имеющих такую возможность, будет пропорционально увеличиваться.
Запись будет одна единственная, будет расти количество людей, имеющих к ней «отмычку». Понимаете?
Правильно я понимаю, что подтверждая через почту (т.е. вообще не посещая МЦФ) ни у кого из сотрудников МФЦ всех регионов не будет права удаления, «отмычки» в вашей терминологии (СНИЛС не просили, поля не заполняли => карточка не завелась)?SibUrsus
23.08.2017 10:43но мой опыт показывает, что для подтверждение достаточным документом является паспорт, оператор МФЦ (сотрудник почты) ничего не заводит и СНИЛС не просит, то что он делает видится со стороны «смотрит паспорт и ставит галочку».
Я уже ответил вам выше, про 2 способа подтверждения.
Или АИС МФЦ это не то, что установлено в вашем МФЦ?
Этих АИС довольно много, каждый субъект федерации выбирает себе сам, по вкусу, кошельку и /или еще некоторым параметрам. У нас стоит одна, в соседнем регионе другая, тонкости их работы я не могу знать.
Правильно я понимаю, что подтверждая через почту (т.е. вообще не посещая МЦФ) ни у кого из сотрудников МФЦ всех регионов не будет права удаления, «отмычки» в вашей терминологии (СНИЛС не просили, поля не заполняли => карточка не завелась)?
Да. Но если пользователь и забудет пароль и потеряет симку, ему все равно нас не миновать.ErshoFF Автор
23.08.2017 14:29Этих АИС довольно много, каждый субъект федерации выбирает себе сам, по вкусу, кошельку и /или еще некоторым параметрам. У нас стоит одна, в соседнем регионе другая, тонкости их работы я не могу знать.
Наличие разных систем АИС противоречит наличию единой техподдержки — техподдержка не спрашивает из какого вы региона. Я общался по разным вопросам с ТП.
И, если разбираться дальше, получается что удалить могли только сотрудники того региона, в котором проходило подтверждение УЗ?
Гражданин может придти в любой МФЦ с документами и сказать: хочу подтвердить учетную запись. ОК, оператор берет его паспорт и СНИЛС и заводит карточку заявителя, заполняя все поля.
Для похода в первый раз МФЦ нужен паспорт и СНИЛС?
А для кого гражданин заполнял все эти поля сидя за компьютером, потом проходила сверка введенных данных с другими госорганами? Чтобы потом оператор МФЦ ещё раз заводил на него карточку путем ввода данных паспорт и СНИЛС?chieftain_yu
23.08.2017 14:46+1Полагаю, есть федеральная база.
В которой хранятся ваши СНИЛС и прочие данные.
А есть региональные БД.
И при приходе в МФЦ оператор должен сперва завести в своей АИС ваши данные (в том числе паспорт и СНИЛС) чтобы они создались в АИС.
Далее АИС стучится в федеральную базу данных с запросом «тут ко мне пришел некто Имяреков Имярек Имярекович, паспорт 1234 567890, СНИЛС 123-456-789-01, давай данные».
Федеральная сверяет предъявляемые данные с имеющимися и в случае совпадения — отдает.ErshoFF Автор
23.08.2017 14:49Бывал в МФЦ с разными людьми — никогда СНИЛС не просили.
Вы работает в государственном МФЦ?
SibUrsus
23.08.2017 17:33-1Вы не обижайтесь, но я вам отвечать больше не буду. Токсичный вы какой-то, утомили. Играете в игру, прям как по Эрику Бёрну «Да, но...»
Играйте, но без меня.
Всех благ вам и вашему знакомому.
geka_ru
22.08.2017 16:52а в системе точно не висит вирус считывающий клики по клаве?
ErshoFF Автор
22.08.2017 16:54+1Однозначного ответа об этом вам никто и никогда не даст — уязвимости обнаруживаются постоянно.
Но на системе стояли и стоят файервол/платный антивирус/обновления ОС /маршрутизатор.
И других потерь не замечено.
Barabek
22.08.2017 19:17Что видно в журнале посещений Яндекса? Заходил ли кто посторонний в аккаунт?
ErshoFF Автор
22.08.2017 19:51Нет, в день удаления уч.записи 17.08.2017 никто не заходил.
Также в журнале не видно чтобы кто-нибудь кроме меня заходил в этот ящик.
Журнал добавил в пост.
Alexeyslav
22.08.2017 20:14А там логируется забор почты по POP3?
ErshoFF Автор
22.08.2017 20:17+1Судя по yandex.ru/blog/mail/2494
Журнал посещений — это страница, на которой отображаются все «существенные» изменения в вашем почтовом ящике (действия с письмами, папками и метками). Напротив каждого из действий указан IP-адрес компьютера, с которого оно было осуществлено. Также есть возможность посмотреть более детальную информацию по каждому из действий за конкретную дату.
В журнале посещений отображаются как действия через веб-интефейс, так и через почтовые программы.
да, логгируются.
Dmitri-D
23.08.2017 07:22Да наверняка просто дыра в системе, позволяющая удалять учётки. А техподдержка держит хвост пистолетом, отражая нападки пострадальцев.
pnetmon
А что значит картинка с сообщениями 2006 года?
ErshoFF Автор
Удалено.
KYuri
Мем
helg1978
промахнулся
helg1978
Этот мопед не его, он просто разместил КПДВ
AlexanderS
Этот мопед не его, он просто разместил объяву.